Kaspersky Global Araştırma ve Tahlil Takımı, Türkiye, Mısır, Bangladeş ve Almanya genelinde e-kitap okurlarını amaç alan berbat maksatlı bir yazılım hizmet modeli kampanyasını ortaya çıkardı. Siber hatalılar, en çok okunan Türkçe ve Arapça kitapların görünümüne büründürdükleri gelişmiş berbat hedefli yazılımları kullanarak yüzlerce kullanıcıyı, parolalarını, kripto para cüzdanlarını ve öteki hassas bilgilerini çalan evrakları indirmeye yönlendiriyor.
Kaspersky, LazyGo ismi verilen ve bilgi hırsızlığı yapan çeşitli makûs maksatlı yazılımları dağıtan yeni bir Go tabanlı yükleyiciyi kullanan makûs hedefli yazılım hizmeti modeli (malware-as-a-service (MaaS)) kampanyası tespit etti. Kampanya, Türkçe’ye çevrilmiş John Buchan’ın “39 Basamak” gibi tanınan yapıtlardan, şiir, folklor ve dini pratiklere yönelik Arapça metinlere kadar geniş bir yelpazede arama yapan kullanıcıları gaye alıyor. Uydurma e-kitaplar, Tamer Koçel’in “İşletme Yöneticiliği” üzere Türkçe işletme idaresi kitaplarından çağdaş kurgu yapıtlarına ve “Umman Sultanlığı’nda Edebi ve Dilbilimsel Hareket” üzere Arapça edebiyat eleştirisi çalışmalarına kadar çeşitlilik gösteriyor.
Kötü emelli belgeler PDF e-kitap üzere görünse de aslında PDF simgesi taşıyan yürütülebilir programlar. Kullanıcılar bu uydurma kitapları indirip açtığında, LazyGo yükleyicisi StealC, Vidar ve ArechClient2 üzere bilgi hırsızlarını sistemlere yerleştiriyor. Kaspersky araştırmacıları, API unhooking, AMSI atlatma, ETW devre dışı bırakma ve sanal makine tespitinden kaçınma üzere farklı gizlenme teknikleri kullanan üç farklı LazyGo varyantı tespit etti.
Saldırganların çaldığı bilgiler şunları içeriyor:
- Tarayıcı verileri: Chrome, Edge, Firefox ve başka tarayıcılardan kayıtlı parolalar, çerezler, otomatik doldurma bilgileri ve tarama geçmişi.
- Finansal varlıklar: Kripto para cüzdanı uzantıları, yapılandırma belgeleri ve depolama dataları.
- Geliştirici kimlik bilgileri: AWS kimlik bilgileri, Azure CLI belirteçleri ve Microsoft Identity Platform belirteçleri.
- İletişim platformları: Discord belirteçleri, Telegram Desktop bilgileri ve Steam oturum bilgileri.
- Sistem bilgileri: Donanım özellikleri, yüklü yazılımlar ve çalışan süreçler.
ArechClient2/SectopRAT ile enfekte olan kurbanlar, saldırganların sistem üzerinde tam uzaktan denetim elde etmesi nedeniyle ek bir riskle karşı karşıya kalıyor.
Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Yossef Abdelmonem: “Bu kampanyayı bilhassa kaygı verici kılan öge, malware-as-a-service modelinin maksatlı toplumsal mühendislik ile birleştirilmiş olmasıdır. LazyGo yükleyicisinin farklı varyantları ve gelişmiş kaçınma teknikleri, bunun sıradan bir siber cürüm teşebbüsü olmadığını; kimlik bilgilerini geniş ölçekte toplamak gayesiyle kurgulanmış yapılandırılmış bir operasyon olduğunu gösteriyor. Kurumsal altyapıya derin erişim sağlayabileceği için çalınan geliştirici belirteçleri ve bulut kimlik bilgilerinin oluşturduğu risklere karşı kurumların bilhassa dikkatli olması gerekiyor.”
Kaspersky’nin telemetrisi, kampanyanın kamu kurumları, eğitim kurumları, BT hizmetleri ve öbür kesimleri etkilediğini gösteriyor. Tehdit aktörleri, makus maksatlı e-kitapları GitHub’a ve ele geçirilmiş web sitelerine sistemli olarak yüklemeye devam ettiği için kampanya hala faal durumda.
Kaspersky uzmanları, kullanıcıların e-kitap indirmeden evvel kaynakları doğrulamasını, evrak özelliklerini dikkatle incelemesini ve gelişmiş kaçınma tekniklerini algılayabilecek aktüel bir güvenlik tahlili kullanmasını öneriyor. Güvenlik tahlili seçerken, bağımsız testlerle doğrulanmış güçlü makus gayeli yazılım tarama yeteneklerine sahip eserlere yönelmek ehemmiyet taşıyor. AV-Comparatives tarafından gerçekleştirilen son değerlendirmeye göre, Kaspersky Premium, 9.995 belgeden oluşan test setinde yüzde 99,99 makûs hedefli yazılım belirleme oranı göstererek yüksek seviyede müdafaa sağladığını kanıtladı.
Kaynak: (BYZHA) Beyaz Haber Ajansı